SAML の仕様では、次の 3 つのエンティティが定義されています。
- プリンシパル(Edge UI ユーザー)
- サービス プロバイダ(Apigee SSO)
- ID プロバイダ(SAML アサーションを返す)
SAML が有効になっている場合、プリンシパル(Edge UI ユーザー)はサービス プロバイダ(Apigee SSO)へのアクセスをリクエストします。Apigee SSO が(SAML サービス プロバイダとしての役割で)SAML IDP に ID アサーションをリクエストして取得し、そのアサーションを使用して Edge UI へのアクセスに必要な OAuth2 トークンを作成します。その後、ユーザーは Edge UI にリダイレクトされます。
このプロセスを以下に示します。
図の説明:
- ユーザーが Edge UI へのアクセスを試みるには、Edge UI のログイン URL にリクエストを送信します。例:
https://edge_ui_IP_DNS:9000 - 未認証のリクエストは SAML IDP にリダイレクトされます。(例: https://idp.customer.com)。
- ユーザーが ID プロバイダにログインしていない場合は、ログインするように求められます。
- ユーザーがログインします。
- ユーザーは SAML IDP によって認証されます。SAML IDP は SAML 2.0 アサーションを生成して Apigee SSO に返します。
- Apigee SSO がアサーションを検証し、アサーションからユーザー ID を抽出して Edge UI 用の OAuth 2 認証トークンを生成します。その後、ユーザーを次のメイン Edge UI ページ(
https://edge_ui_IP_DNS:9000/platform/orgName
)にリダイレクトします。ここで、orgName は Edge 組織の名前です。
Edge は、Okta や Microsoft Active Directory フェデレーション サービス(ADFS)など、多くの IDP をサポートしています。Edge で使用するように ADFS を構成する方法については、ADFS IDP の証明書利用者としての Edge の構成をご覧ください。Okta については、次のセクションをご覧ください。
SAML IDP を構成するには、ユーザーを識別するためのメールアドレスが Edge に必要です。したがって、ID プロバイダは ID アサーションの一部としてメールアドレスを返す必要があります。
さらに、以下の一部またはすべてが必要になる場合があります。
| 設定 | 説明 |
|---|---|
| メタデータ URL |
SAML IDP には Apigee SSO のメタデータ URL が必要になる場合があります。メタデータ URL の形式は次のとおりです。 protocol://apigee_sso_IP_DNS:port/saml/metadata 例: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| Assertion Consumer Service の URL |
ユーザーが次の形式の IDP 認証情報を入力した後、Edge へのリダイレクト URL として使用できます。 protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk 例: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
シングル ログアウト URL |
シングル ログアウトをサポートするように Apigee SSO を構成できます。詳しくは、Edge UI からのシングル ログアウトを構成するをご覧ください。Apigee SSO のシングル ログアウト URL の形式は次のとおりです。 protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk 例: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
SP エンティティ ID(またはオーディエンス URI) |
Apigee SSO の場合: apigee-saml-login-opdk |
Okta の構成
Okta を構成するには:
- Okta にログインします。
- [Applications] を選択し、SAML アプリケーションを選択します。
- [Assignments] タブを選択し、アプリケーションにユーザーを追加します。これらのユーザーは、Edge UI にログインして Edge API を呼び出すことができます。ただし、まず各ユーザーを Edge 組織に追加し、ユーザーのロールを指定する必要があります。詳細については、新しい Edge ユーザーを登録するをご覧ください。
- [Sign on] タブを選択して、ID プロバイダのメタデータ URL を取得します。この URL は Edge の構成時に必要になるため、保存します。
- [General] タブを選択して、Okta アプリケーションを構成します。次の表をご覧ください。
設定 説明 シングル サインオン URL ユーザーが Okta 認証情報を入力した後に使用する、Edge へのリダイレクト URL を指定します。この URL の形式は、 http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
です。apigee-ssoで TLS を有効にする場合:https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
ここで、apigee_sso_IP_DNS は、
apigee-ssoをホストするノードの IP アドレスまたは DNS 名です。この URL では大文字と小文字が区別されます。SSO は大文字で表記する必要があります。
apigee-ssoの前にロードバランサがある場合は、ロードバランサを介して参照されるapigee-ssoの IP アドレスまたは DNS 名を指定します。受信者 URL とリンク先 URL に使用 このチェックボックスをオンにします。 オーディエンス URI(SP Entity ID) apigee-saml-login-opdkに設定デフォルトの RelayState 空欄でもかまいません。 名前 ID の形式 EmailAddressを指定します。アプリケーションのユーザー名 Okta usernameを指定します。属性ステートメント(省略可) 次の画像に示すように、 FirstName、LastName、Emailを指定します。
完了すると、SAML 設定ダイアログ ボックスが次のように表示されます。
